某高校局域网设计

精品文档 1欢迎下载 一 建设高校校园网络的一 建设高校校园网络的背景背景 1 校园内部实现资源共享 如教务信息共享 教研成果共享 教学资料 共享 图书资料共享等 2 校园内信息传递畅通无阻 能准确 可靠地传输学校的教育教学信息 努力创造与上级教育部门 社会 家庭之间通讯接口 实现社会教育 学校 教育 家庭教育的有机整合 3 完成与 Internet 的常规接轨 使教师 学生能利用因特网的信息优势 为教育教学与学习提供良好帮助 2 2 需求需求分析分析 校园网的建设是一项非常复杂的系统工程 校园作为一个特殊的网络应用环 境 它的建设与使用都有其自身的特点 在选择局域网的网络技术时要体现开放 式 分布式 安全可靠 维护简单的原则 校园网的建设主要应用局域网技术以 及多媒体技术为主的各种网络应用技术 局域网技术是一项在 20 世纪 70 年代发 展起来的计算机互联技术 经过多年的发展 技术已经成熟 并得到了广泛的应 用 局域网技术成为网络技术的重要组成部分 计算机多媒体技术是伴随着多媒 体信息的应用而得到迅速的计算机应用技术 在网络环境下 多媒体得到了更快 更好的应用 使我们得到了更好更多的信息 校园网是使用了局域网技术以及各 种多媒体应用技术 并结合 Internet 应用等其它的技术来建设 使得校园网能满 足现代教学对信息处理的要求 使计算机的应用能对教学管理现代化起重要的促 进作用 能实现信息查寻 教务管理 并与外部网络系统进行交流等多种需要 三三 系统拓扑结构系统拓扑结构 精品文档 2欢迎下载 高校拓扑图 四 方案所采用的关键技术四 方案所采用的关键技术 4 1 路由协议 OSPF 在网络核心层和汇聚层上需要使用三层设备为网络内部不同的网段的数据和 不同 vlan 间的数据转发而需要路由协议时 我们采用 OSPF 协议作为路由协议 OSPF 是一种典型的链路状态路由协议 采用 OSPF 的路由器彼此交换并保存整 个网络的链路信息 从而掌握全网的拓扑结构 独立计算路由 因为 RIP 路由协 议不能服务于大型网络 所以 IETF 的 IGP 工作组特别开发出链路状态协议 OSPF OSPF 作为一种内部网关协议 Interior Gateway Protocol IGP 用于在同 一个自治域 AS 中的路由器之间发布路由信息 区别于距离矢量协议 RIP OSPF 具有支持大型网络 路由收敛快 占用网络资源少等优点 在目前应用的路 由协议中占有相当重要的地位 精品文档 3欢迎下载 4 2 NAT 的描述及策略路由的实现 在组建网络时 为了节约地址 我们在内部使用保留的私有地址段中的地址 但是使用私有地址不能访问 Internet 所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上 应用 NAT 进行地址转换 NAT 是网络地址翻译技术 在路由器上起用 NAT 之后 可以在部私有地址和 外部公网地址之间做转换 比如我们可以把网络内部使用的 IP 翻译成外部公网 的 IP 配置基于策略的路由选择时 可使用路由映射表来指定基于 IP 地址 应用 程序 协议或者分组长度的条件 基于策略的路由选择命令对中选的路由实现策 略 基于策略的路由和静态路由有很多共同之处 然而 静态路由根据目标网络 地址来转换分组 而策略路由根据源地址来转发分组 在路由选择表中使用访问 列表时 可根据诸如目标地址 分组长度 IP 协议字段 优先级或端口号来转发 数据流 这样可以指定范围更广泛 更细致的条件 并根据这些条件来决定下 一 跳路由器 4 3 ACL 访问控制列表 访问列表为我们提供了一种对网络访问进行有效管理的方法 通过访问列 表 我们可以设置允许或拒绝数据包通过路由器 或者允许或者拒绝具体的某些 端口 进行访问和使用 如果满足条件则执行相应的操作 放行这个包或者放弃这 个包 我们通过这些设置来满足实际网络的灵活需求 从而达到设置网络安全策 略 防 止网络中的敏感设备受到非授权访问的情况 在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型 他们分 别是标准访问列表 Standard access lists 和扩展访问列表 Extends access lists 前者在过滤网络的时候只使用 IP 数据报的源地址 那么在使用这种访 问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址 它无法 区分具体的流量类型 而扩展访问列表则可以提供更细的决定 它可以具体到端 口 从而精确到某一个服务 比如对 WEB FTP 的访问等 给我们网络的策略提供 了更细的控制手段 我们利用这种访问列表进行协议级的控制以达到对网络一个 精品文档 4欢迎下载 有效的管理 标准访问控制列表一般放在靠近目标的路由器上 而扩展访问控制列 表一般放于近源端的路由器上 4 4VPN 技术 VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术 通过这种 划分 我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域 或者 把物理位置上邻近的网络设备划为不同的广播域 从而更方便我们管理和做一个 逻辑层次的划分 从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN 那么静 态 的 VLAN 是基于交换机端口进行划分 根据网络设备连接不同的交换机端口 则 进入相应的 VLAN 动态 VLAN 则更灵活 它可以根据接入计算机的 IP 地址 MAC 地址 甚至是用户的登陆账号做出相应的处理 把计算机划分进相应的 VLAN 中 这样就为我们实际的网络管理带来了比较大的方便性和灵活性 那么 在我们的校园网方案中 我们希望通过使用 VLAN 技术进行划分达到以下目的 隔离 划分广播域 减小不必要的广播流量 从而提高整个网络的利用效率 五 五 IPIP 规划与规划与 VLANVLAN 1 学院网络 IP 地址分配总则 IP 地址规划根据所分配的公网 IP 地址和内部私网 IP 地址分配 地址可分为三大块 一 块是 Cernet 分配多个 C 类公网 IP 地址 作为和国际互联网互连的地址 域名 就 解析在这片地址上 主要供网络中心和图书馆电脑部 部分实验室专用 校园网的普通用户 使用内部地址 192 168 xxx xxx 不能和国际互联网直接发生联系 不能避开代理和计费系 统 学校同时还可以申请一块 ChinaNet 的公网 IP 地址 作为接入电信公网和部分关键的服务 器出口备份 关键服务器拥有两个公网 IP 分别跨接在 Cernet 和 ChinaNet 上 2 VLAN 的划分 当前交换技术的迅速发展 也加快了虚拟子网技术 VLAN Virtual Local Area Network 的应用速度 特别是在当前校园网上的应用更广泛 通过将校园网络划分为虚拟子网 VLAN 可以强化网络管理和网络安全 控制不必要的数据广播 学校内部对于灵活 动态地组建 VLAN 网段的要求也越来越多 客观上要求 VLAN 本身的结构可以实现动态组建 调整和管理 为了有效地提高网络管理的灵活性 提高网络效率和网络安全性 充分合理地进行 VLAN 划分 是必需的 该方案的 VLAN 划分如下 VLAN 划分表 精品文档 5欢迎下载 VLAN 号 VLAN 名 称 IP 网段默认网关说明 VLAN 1 192 168 0 0 24192 168 0 254管理 VLAN VLAN 10 JWC192 168 1 0 24192 168 1 254教务处 VLAN VLAN 20 XSSS192 168 2 0 24192 168 2 254男生公寓 VLAN VLAN 30 CWC192 168 3 0 24192 168 3 254财务处 VLAN VLAN 50 JZX192 168 5 0 24192 168 5 254医务室 VLAN VLAN 60 GLX192 168 6 0 24192 168 6 254女生公寓 VLAN VLAN 70 JSJX192 168 7 0 24192 168 7 254教学楼 VLAN VLAN 100WQQ192 168 100 0 24192 168 100 254图书馆 VLAN 5 25 2 核心层设计及设备选型核心层设计及设备选型 校园网是各种应用的统一通信平台 平均无故障时间以及故障恢复时间要保持在一个可容 忍的许可范围之内 在这种前提下 主干设备应有一定的冗余度 这种冗余度不单只是设备 也应该考虑物理线路 数据链路层 网络层以及应用层的容错能力 主干网以校园网络中心的 主机房为中心节点向外辐射 通过各部门 院 系 所 所在的建筑楼节点构成主干网 校园 网物理结构分为三层 核心层 汇聚层 接入层 5 35 3 汇聚层设计汇聚层设计 采用千兆以太网技术 实现核心层与汇聚层的互连 核心网络以星型结构连接各汇聚层节点 根据信息点分布情况 选用千兆可堆叠交换机作为用户的链路汇聚 汇聚层交换机支持灵活的 组网能力 强大的网络适应能力丰富的 QoS 策略 灵活的组网能力 支持多种规格千兆接口模 块供选择 并可提供堆叠接口模块 可以和系列交换机堆叠 能够提供更灵活的组网模式 强 大的网络适应能力 支持丰富的二层 三层协议 支持 OSPF RIP I II 等路由协议 支持 802 1q GVRP 等二层协议 提供 RSTP PIM 协议 支持 802 1x 用户认证功能 可胜任各种 复杂网络的组网需求 可控组播技术使得网络的组播源和组播用户可控 能够对组播业务进行 可靠的管理 丰富的 QoS 策略 支持对不同优先级业务进行调度及良好的网络拥塞控制策略 支持基于 L2 3 4 的流分类 丰富的 Qos 策略是构建高质量网络的基础 7 精品文档 6欢迎下载 5 45 4 接入层设计接入层设计 接入层选用可堆叠交换机作为用户的接入 采用 10 100 1000M 以太网交换机系列 该系 列交换机使用可堆叠式机型 接入交换机要求支持全线速的二层交换 完备的安全智能控制策略 支持 802 1x 认证 还可以通过灵活的 MAC IP VLAN PORT 任意组合绑定 有效的防止非法用户访问网络 支 持多种 ACL 访问控制策略 能够对用户访问网络资源的权限进行设置 保证网络的受控访问 高可靠性 支持 STP RSTP 生成树协议 丰富的 QOS 策略 支持基于源 MAC 地址 目的 MAC 地 址 源 IP 地址 目的 IP 地址 端口 协议的 L2 L7 复杂流分类 支持带宽控制功能 好的扩 展性 提供良好的堆叠功能 同时支持不同设备的混合堆叠 从而保证了网络的平滑升级和降 低了扩建成本 5 55 5 服务器选型服务器选型 在该方案中 校园网服务器选用清华同方的超强系列服务器产品 1 Web 服务器选型分析 根据校园网服务器的应用特点 Web 服务器选型应该按照如下原则 1 要求反应时间短 能快速响应和处理用户的访问需求 2 具有强大的信息吞吐能力 多 Web 站点和内容缓存 能在一定投资下提供更多的访问 服务和提高用户满意度 3 易于发布和实现信息共享 4 易于建立和运行 Web 应用 简化业务进程 5 具有可靠的品质 保证 Web 服务不间断 6 易于设置和管理 使网络管理变得更容易 7 易于扩展 满足业务的扩大需求 保护用户投资 基于以上需求 推荐选用清华同方超强 2250L 服务器 2 其他服务器 在大型校园网中 还有 E mail BBS 资源库 远程教育 电子预览等应用 清华同方超 强 1580L 服务器可以满足上述应用要求 六六 主要的配置代码主要的配置代码 三层交换机静态路由 精品文档 7欢迎下载 Switch en 进入用户模式 Switch config t 进入特权模式 Switch config hostname he2 更改设备名为 he2 he2 config ex 退出特权模式 he2 vlan da 进入 vlan 数据库 he2 vlan vtp domain ming 设置 VTP 域名为 ming he2 vlan vtp server 设置该设备为 VTP 服务器 he2 vlan vtp v2 mode 设置 VTP 的版本 he2 vlan vlan 10 添加 vlan10 VLAN 10 added Name VLAN0010 he2 vlan vlan 10 name SC 更改 vlan10 名为 SC VLAN 10 modified Name SC he2 vlan vlan 20 添加 vlan20 VLAN 20 added Name VLAN0020 he2 vlan vlan 20 name YF 更改 lan20 名为 YF VLAN 20 modified Name YF he2 vlan vlan 30 添加 vlan30 VLAN 30 added Name VLAN0030 he2 vlan vlan 30 name QG 更改 vlan30 名为 QG VLAN 30 modified Name QG he2 vlan vlan 40 添加 vlan40 VLAN 40 added Name VLAN0040 he2 vlan vlan 40 name XS 更改 vlan40 名为 XS VLAN 40 modified Name XS he2 vlan vlan 50 添加 vlan50 VLAN 50 added Name VLAN0050 he2 vlan vlan 50 name CW 更改 vlan50 名为 CW VLAN 50 modified Name CW he2 vlan exit 退出 vlan 数据库模式 he2 config t 进入特权模式 he2 config int range fa0 1 2 进入 fa0 1 2 端口模式 he2 config if range switchport mode trunk 设置端口为 trunk 模式 he2 config if range ex 退出 精品文档 8欢迎下载 he2 config int port channel 3 新建一个 port channnel 3 汇聚端口 he2 config if switchport trunk encapsulation dot1q 封装 dot1q 协议 he2 config if switchport mode trunk 设置端口为 trunk 模式 he2 config if ex 退出 he2 config int range fa0 4 6 进入 fa0 4 6 端口模式 he2 config if range channel group 3 mode on 激活汇聚端口 he2 config if range switchport trunk encapsulation dot1q 封装 dot1q 协议 he2 config if range switchport mode trunk 设置为 trunk 模式 he2 config if range ex 退出 he2 config int vlan 1 进入 vlan1 接口模式 配置 vlan1 的 ip 地址及网关 he2 config if ip add 192 168 0 1 255 255 255 0 he2 config if no shut 开启 he2 config if ex 退出接口模式 he2 config inter vlan 10 进入 vlan10 接口模式 配置 vlan2 的 ip 地址 及网关 he2 config if ip add 192 168 1 1 255 255 255 0 he2 config if no shut 开启 he2 config if ex 退出接口模式 he2 config if int vlan 20 进入 vlan20 接口模式 配置 vlan20 的 ip 地址 及网关 he2 config if ip add 192 168 2 1 255 255 255 0 he2 config if no shut 开启 he2 config if ex 退出接口模式 he2 config int vlan 30 进入 vlan30 接口模式 配置 vlan30 的 ip 地址 及网关 he2 config if ip add 192 168 3 1 255 255 255 0 he2 config if no shut 开启 he2 config if ex 退出接口模式 he2 config int vlan 40 进入 vlan40 接口模式 配置 vlan40 的 ip 地址 及网关 he2 config if ip add 192 168 4 1 255 255 255 0 he2 config if no shut 开启 he2 config if ex 退出接口模式 he2 config int vlan 50 进入 vlan50 接口模式 配置 vlan50 的 ip 地址 及网关 he2 config if ip add 192 168 5 1 255 255 255 0 he2 config if no shut 开启 he2 config if ex 退出接口模式 he2 config int range fa0 1 2 进入 fa0 1 2 端口模式 he2 config if range switchport trunk encapsulation dot1q 封装 dot1q 协议 he2 config if range switchport mode trunk 设置端口为 trunk 模式 he2 config if range ex 退出端口模式 精品文档 9欢迎下载 he2 config router rip 进入路由表添加下一跳路由 he2 config router network 192 168 0 0 he2 config router network 192 168 1 0 he2 config router network 192 168 2 0 he2 config router network 192 168 3 0 he2 config router network 192 168 4 0 he2 config router network 192 168 5 0 路由器基本配置 Router en Router confi Router configure t Router configure terminal Enter configuration commands one per line End with CNTL Z Router co nfig ho Router config hostname R1 R1 config en R1 config ena R1 config enab le s R1 config enable secret cisco R1 config lin c 0 R1 config line pas R1 config line password class R1 config line login R1 config line exit R1 config lin vty 0